- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-WLAN用戶安全配置
本章節下載: 07-WLAN用戶安全配置 (809.33 KB)
目 錄
1.12.2 PSK身份認證與密鑰管理模式和Bypass認證配置舉例
1.12.3 PSK身份認證與密鑰管理模式和MAC地址認證配置舉例
1.12.7 Private-PSK身份認證與密鑰管理模式和MAC地址認證配置舉例
WLAN用戶安全協議主要包括Pre-RSNA、802.11i和802.11w。其中,Pre-RSNA機製最早出現,安全機製不太完善;802.11i協議是對Pre-RSNA的增強,但僅對無線網絡的數據報文進行了加密保護;802.11w建立在802.11i框架上,對無線網絡的管理幀進行保護,進一步增強了無線網絡的安全性。
Pre-RSNA安全機製采用開放式係統認證(Open system authentication)和共享密鑰認證(Shared key authentication)兩種認證模式來進行客戶端認證,並且采用WEP加密方式對數據進行加密來保護數據機密性,以對抗竊聽。
WEP加密使用RC4加密算法(一種流加密算法)實現數據報文的加密,WEP加密支持WEP40、WEP104和WEP128三種密鑰長度。
開放係統認證(Open system authentication)是缺省使用的認證方式,也是最簡單的認證算法,即不認證。如果認證類型設置為開放係統認證,則所有請求認證的客戶端都會通過認證。開放係統認證包括兩個步驟,如圖1-1所示:
(1) 客戶端向AP發起認證請求;
(2) AP確定客戶端可以通過無線鏈路認證,並向客戶端回應認證結果為“成功”。
共享密鑰認證(Shared key authentication)需要客戶端和AP配置相同的WEP密鑰。
共享密鑰認證的認證過程如圖1-2所示:
(1) 客戶端先向AP發送認證請求;
(2) AP會隨機產生一個Challenge Text(即一個字符串)發送給客戶端;
(3) 客戶端使用WEP密鑰將接收到的Challenge Text加密後再發送給AP;
(4) AP使用WEP密鑰解密接收到的消息,並對解密後的字符串和原始字符串進行比較。如果相同,則說明客戶端通過了鏈路層認證,否則鏈路層認證失敗。
當WLAN網絡采用802.11i安全機製時,鏈路層認證將協商為開放係統認證。
802.11i安全機製又被稱為RSNA(Robust Security Network Association,健壯安全網絡連接)安全機製,包括WPA(Wi-Fi Protected Access,Wi-Fi保護訪問)和RSN(Robust Security Network,健壯安全網絡)兩種安全模式:
· WPA是一種比WEP加密性能更強的安全機製。在802.11i協議完善前,采用WPA為用戶提供一個臨時性的WLAN安全增強解決方案。
· RSN是按照802.11i協議為用戶提供的一種WLAN安全解決方案。
802.11i協議采用AKM(Authentication and Key Management,身份認證與密鑰管理)對用戶身份的合法性進行認證,對密鑰的生成、更新進行動態管理。AKM分為802.1X、Private-PSK和PSK三種模式:
· 802.1X:采用802.1X認證對用戶進行身份認證,並在認證過程中生成PMK(Pairwise Master Key,成對主密鑰),客戶端和AP使用該PMK生成PTK(Pairwise Transient Key,成對臨時密鑰)。
· Private-PSK:采用PSK(Pre-Shared Key,預共享密鑰)認證進行身份認證,使用客戶端的MAC地址作為PSK密鑰生成PMK,客戶端和AP使用該PMK生成PTK。
· PSK:采用PSK認證進行身份認證,並通過PSK密鑰生成PMK,客戶端和AP使用該PMK生成PTK。
802.11i協議使用兩種身份認證方式:
· 對於安全要求標準較高的企業、政府等機構,推薦使用認證服務器通過802.1X認證方式對客戶端進行身份認證。有關802.1X認證的詳細介紹及相關配置,請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
· 對於安全要求標準較低的家庭用戶等,推薦使用PSK方式對客戶端進行認證。PSK認證方式需要在AP側預先輸入預共享密鑰,在客戶端關聯過程中,手動輸入該密鑰,AP和客戶端通過四次握手密鑰協商來驗證客戶端的預共享密鑰的合法性,若PTK協商成功,則證明該用戶合法,以此來達到認證的目的。
密鑰用於對數據進行加密來提高WLAN網絡的安全性。密鑰管理機製定義了密鑰的生成和密鑰的更新等一係列的過程,以此來確保每個用戶使用安全的密鑰。
802.11i協議中密鑰主要包括PTK和GTK(Group Temporal Key,群組臨時密鑰)兩種。
(1) PTK
PTK用於保護單播數據,PTK結構如圖1-3所示。
圖1-3 PTK結構圖
· KCK(EAPOL-Key Confirmation Key,確認密鑰):用來校驗EAPOL-Key幀的完整性。
· KEK(EAPOL-Key Encryption Key,加密密鑰):用來加密EAPOL-Key幀中的Key Data字段。
· TK(Temporal Key,臨時密鑰):用來對單播數據報文進行加密的密鑰。
(2) GTK
GTK用於保護組播和廣播數據。GTK的結構包含TK和其它字段,其中TK是用來對組播和廣播數據進行加密的密鑰。
802.11i協議規定密鑰協商過程使用的報文為EAPOL-Key數據報文,報文格式如圖1-4所示。
圖1-4 EAPOL-Key報文格式
EAPOL-Key報文的各字段含義如表1-1所示。
表1-1 EAPOL-Key報文字段含義
|
字段 |
含義 |
|
Descriptor type |
表示網絡類型是WPA網絡或RSN網絡 |
|
Key information |
有關Key information的詳細介紹,請參見“表1-2Key information字段含義” |
|
Key length |
表示密鑰的長度 |
|
Key replay counter |
此字段表示AP發送的EAPOL-Key報文的個數,即AP每發送一個EAPOL-Key報文該字段都會加1,目的是防止重放攻擊。在開始密鑰協商時,AP發送的EAPOL-Key報文中該字段為0,客戶端接收到EAPOL-Key報文,將此位記錄到本地,當客戶端再次接收到AP發送的EAPOL-Key報文時,報文內的該字段必須要大於本地所記錄的,否則丟棄該報文等待重傳。當AP端接收到客戶端的報文時,此字段必須和AP本地保存的相同,否則等待重傳,直到接收到合法的Key replay counter。若達到最大重傳次數時,AP會將客戶端刪除 |
|
Key nonce |
該字段用來傳遞生成PTK所用的隨機值 |
|
EAPOL Key IV |
該字段用於TKIP加密,隻有加密方式為非CCMP時,該字段才被賦值 |
|
Key RSC |
此字段表示AP發送的組播報文或廣播報文的個數,即AP每發送一個組播或廣播報文該字段都會加1,與Key replay counter字段的防止重放攻擊作用相同 |
|
Reserved |
保留字段 |
|
Key MIC |
表示EAPOL-Key報文MIC(Message Integrity Check,信息完整性校驗)值 |
|
Key data length |
表示Key data字段長度 |
|
Key data |
該字段要存放AP和客戶端進行交互的數據,例如:GTK、PMKID(Pairwise Master key identifier,成對主密鑰標識符,供漫遊所用)等 |
Key information字段格式如圖1-5所示,各字段含義如表1-2所示。
|
字段 |
含義 |
|
Key Descriptor Version |
密鑰版本位,長度為3比特,取值為1表示非CCMP密鑰,取值為2表示CCMP密鑰 |
|
Key Type |
密鑰類型位,長度為1比特,取值為1表示在進行單播密鑰協商,取值為0表示在進行組播密鑰協商 |
|
Reserved |
保留位,長度為2比特,發送方將該位置為0,接收方忽略該值 |
|
Install |
安裝密鑰標記位,長度為1比特 · 若Key Type位為1: ¡ 安裝密鑰標記位為1,表示客戶端進行TK密鑰安裝 ¡ 安裝密鑰標記位為0,表示客戶端不進行TK密鑰安裝 · 若Key Type位為0: 則在發送方會將安裝密鑰標記位置為0,接收方忽略該位 |
|
Key Ack |
密鑰確認位,長度為1比特,取值為1表示AP期待客戶端回複應答報文 |
|
Key MIC |
信息完整性校驗位,長度1比特,取值為1表示已經計算出MIC,並且將產生的MIC填充到EAPOL-Key報文的Key MIC字段中 |
|
Secure |
安全位,長度為1比特,取值為1表示密鑰已產生 |
|
Error |
錯誤位,長度為1比特,取值為1表示客戶端MIC校驗失敗;當且僅當Request位為1時,客戶端才將該位置為1 |
|
Request |
請求位,長度為1比特,由MIC校驗失敗的客戶端發起,用來請求AP發起四次握手或者組播握手 |
|
Encrypted Key Data |
加密密鑰數據位,長度為1比特,取值為1表示Key data字段為加密數據 |
|
Reserved |
保留位,長度為3比特,發送方將該位置位0,接收方忽略該值 |
WPA是一種比WEP加密性能更強的安全機製。在802.11i協議完善前,采用WPA為用戶提供一個臨時性的WLAN安全增強解決方案。在WPA安全網絡中,客戶端和AP通過使用EAPOL-Key報文進行四次握手協商出PTK,通過使用EAPOL-Key報文進行二次組播握手協商出GTK。協商過程如圖1-6所示。
圖1-6 WPA密鑰協商過程
(1) AP向客戶端發送攜帶有隨機數ANonce的第一個EAPOL-Key報文Message 1;
(2) 客戶端接收到報文Message 1,使用AP端發送的隨機數ANonce、客戶端的隨機數SNonce和身份認證產生的PMK通過密鑰衍生算法生成PTK,並用PTK中的KCK產生MIC(Message Integrity Check,信息完整性校驗),並將MIC填充到Message 2報文中,然後向AP發送攜帶SNonce和MIC的第二個EAPOL-Key報文Message 2;
(3) AP接收到報文Message 2,使用SNonce、ANonce和身份認證產生的PMK通過密鑰衍生算法生成PTK,並用PTK中的KCK生成MIC,然後對Message 2報文做MIC校驗,用AP端生成的MIC和報文中MIC進行比較,若兩個MIC相同則說明MIC校驗成功,否則校驗失敗。MIC校驗成功後,AP向客戶端發送攜帶通知客戶端安裝PTK標記和MIC的第三個EAPOL-Key報文Message 3;
(4) 客戶端接收到報文Message 3,首先對報文進行MIC校驗,校驗成功後,安裝單播密鑰TK,然後向AP發送攜帶MIC的第四個EAPOL-Key報文Message 4;
(5) AP接收到報文Message 4,首先對報文進行MIC校驗,若校驗成功,則AP安裝單播密鑰TK,密鑰安裝成功後AP使用隨機值GMK(Group Master Key,組播主密鑰)和AP的MAC地址通過密鑰衍生算法產生GTK,並向客戶端發送攜帶MIC和GTK的第五個EAPOL-Key報文Group message 1;
(6) 客戶端接收到Group message 1,首先對報文進行MIC校驗,校驗成功後安裝組播密鑰TK,並向AP發送攜帶MIC的第六個EAPOL-Key報文Group message 2;
(7) AP接收到Group message 2,首先對報文進行MIC校驗,校驗成功後安裝組播密鑰TK。
RSN是按照802.11i協議為用戶提供的一種WLAN安全解決方案。在RSN網絡中,客戶端和AP通過使用EAPOL-Key類型報文進行四次握手協商出PTK和GTK。協商過程如圖1-7所示。
圖1-7 RSN密鑰協商過程
(1) AP向客戶端發送攜帶有隨機數ANonce的第一個EAPOL-Key報文Message 1;
(2) 客戶端接收到報文Message 1,使用AP端發送的隨機數ANonce、客戶端的隨機數SNonce和身份認證產生的PMK通過密鑰衍生算法生成PTK,並用PTK中的KCK產生MIC,並填充到Message 2報文中,然後向AP發送攜帶SNonce和MIC的第二個EAPOL-Key報文Message 2;
(3) AP接收到報文Message 2,使用SNonce、ANonce和身份認證產生的PMK通過密鑰衍生算法生成PTK,並用PTK中的KCK生成MIC,然後對Message 2報文做MIC校驗,用AP端生成的MIC和報文中MIC進行比較,兩個MIC相同則說明MIC校驗成功,否則失敗。MIC校驗成功後通過隨機值GMK和AP的MAC地址通過密鑰衍生算法產生GTK,並向客戶端發送攜帶通知客戶端安裝密鑰標記、MIC和GTK的第三個EAPOL-Key報文Message 3;
(4) 客戶端接收到報文Message 3,首先對報文進行MIC校驗,校驗成功後客戶端安裝單播密鑰TK和組播密鑰TK,然後向AP發送攜帶MIC的第四個EAPOL-Key報文Message 4;
(5) AP接收到報文Message 4,首先對報文進行MIC校驗,校驗成功後安裝密鑰單播密鑰TK和組播密鑰TK。
如果客戶端長時間使用一個密鑰,或攜帶當前網絡正在使用的組播密鑰離線,此時網絡被破壞的可能性很大,安全性就會大大降低。WLAN網絡通過身份認證與密鑰管理中的密鑰更新機製來提高WLAN網絡安全性。密鑰更新包括PTK更新和GTK更新。
· PTK更新:PTK更新是對單播數據報文的加密密鑰進行更新的一種安全手段,采用重新進行四次握手協商出新的PTK密鑰的更新機製,來提高安全性。
· GTK更新:GTK更新是對組播數據報文的加密密鑰進行更新的一種安全手段,采用重新進行兩次組播握手協商出新的GTK密鑰的更新機製,來提高安全性。
802.11i采用TKIP(Temporal Key Integrity Protocol,臨時密鑰完整性協議)和CCMP(Counter mode with CBC-MAC Protocol,[計數器模式]搭配[區塊密碼鎖鏈-信息真實性檢查碼]協議)兩種加密機製來保護用戶數據安全。
TKIP加密機製依然使用RC4算法,所以不需要升級原來無線設備的硬件,隻需通過軟件升級的方式就可以提高無線網絡的安全性。相比WEP加密機製,TKIP有如下改進:
· 通過增長了算法的IV(Initialization Vector,初始化向量)長度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密鑰的RC4加密算法,而且將初始化向量的長度由24位加長到48位;
· 采用和WEP一樣的RC4加密算法,但其動態密鑰的特性很難被攻破,並且TKIP支持密鑰更新機製,能夠及時提供新的加密密鑰,防止由於密鑰重用帶來的安全隱患;
· 支持TKIP反製功能。當TKIP報文發生MIC錯誤時,數據可能已經被篡改,也就是無線網絡很可能正在受到攻擊。當在一段時間內連續接收到兩個MIC錯誤的報文,AP將會啟動TKIP反製功能,此時,AP將通過關閉一段時間無線服務的方式,實現對無線網絡攻擊的防禦。
CCMP加密機製使用AES(Advanced Encryption Standard,高級加密標準)加密算法的CCM(Counter-Mode/CBC-MAC,區塊密碼鎖鏈-信息真實性檢查碼)方法,CCMP使得無線網絡安全有了極大的提高。CCMP包含了一套動態密鑰協商和管理方法,每一個無線用戶都會動態的協商一套密鑰,而且密鑰可以定時進行更新,進一步提供了CCMP加密機製的安全性。在加密處理過程中,CCMP也會使用48位的PN(Packet Number)機製,保證每一個加密報文都會使用不同的PN,在一定程度上提高安全性。
當WLAN網絡采用動態WEP安全機製時,鏈路層認證將協商為開放係統認證。
在Pre-RSNA安全機製的WEP加密機製中,由於連接同一BSS下的所有客戶端都使用同一加密密鑰和AP進行通信,一旦某個用戶的密鑰泄露,那麼所有用戶的數據都可能被竊聽或篡改,因此802.11提供了動態WEP加密機製。
· 加密單播數據幀的WEP密鑰是由客戶端和認證服務器通過802.1X認證協商產生,保證了每個客戶端使用不同的WEP單播密鑰,從而提高了單播數據幀傳輸的安全性。
· 組播密鑰是WEP密鑰,若未配置WEP密鑰,則AP使用隨機算法產生組播密鑰。
當客戶端通過802.1X認證後,AP通過發送RC4 EAPOL-Key報文將組播密鑰及密鑰ID以及單播密鑰的密鑰ID(固定為4)分發給客戶端。
保護管理幀功能通過保護無線網絡中的管理幀來完善無線網絡的安全性。802.11w保護的管理幀包括解除認證幀,解除關聯幀和部分強壯Action幀。
· 對於單播管理幀,保護管理幀功能使用PTK對單播管理幀進行加密,保證單播管理幀的機密性、完整性以及提供重放保護。
· 對廣播/組播管理幀,保護管理幀功能使用BIP(Broadcast Integrity Protocol,廣播完整性協議)保證廣播/組播管理幀的完整性以及提供重放保護,實現防止客戶端受到仿冒AP的攻擊。
當AP與客戶端協商結果為使用保護管理幀功能時,AP將使用SA Query(Security Association Query,安全關聯詢問)機製增強客戶端的安全連接。SA Query包括主動SA Query和被動SA Query。
在AP收到仿冒的關聯/重關聯請求幀的情況下,主動SA Query機製可以防止AP對客戶端作出錯誤的響應。
當AP收到客戶端的關聯/重關聯請求幀時,將發送關聯/重關聯響應幀,響應狀態值為“關聯/重關聯臨時被拒絕,稍後重連”,並攜帶通過pmf association-comeback命令指定關聯返回時間,隨後AP會觸發SA Query過程。
AP向客戶端發送SA Query請求幀,若AP在SA Query超時時間內收到客戶端發送的SA Query響應幀,則AP認為該客戶端在線,當關聯返回時間超時後,再次收到客戶端的關聯/重關聯請求幀時,則會再次觸發SA Query過程。若AP在SA Query超時時間內未收到客戶端的SA Query響應幀,將再次觸發SA Query請求幀。若AP在SA Query重試次數內收到SA Query響應幀,則認為客戶端在線,當關聯返回時間超時後,再次收到客戶端的關聯/重關聯請求幀時,則會再次觸發SA Query過程。若AP在SA Query重試次數內未收到SA Query響應幀,則AP將認為客戶端已經掉線,當再次收到該客戶端的關聯/重關聯請求幀時,允許其重新接入。若在關聯返回時間內,SA Query過程未完成,則當關聯返回時間超時後,再次收到客戶端的關聯/重關聯請求幀時,AP將發送關聯/重關聯響應幀,響應狀態值為“關聯/重關聯臨時被拒絕,稍後重連”,並攜帶通過pmf association-comeback命令指定的關聯返回時間,但不重新觸發SA Query過程。
圖1-8 主動SA Query過程
在客戶端收到未加密的解除關聯/解除認證報文(失敗碼為6或7)的情況下,被動SA Query機製可以防止客戶端異常下線。
當客戶端收到一個未保護的解除關聯幀或者解除認證幀,客戶端會觸發SA Query過程。客戶端向AP發送SA Query請求幀,AP回複SA Query響應幀。客戶端收到SA Query響應幀,判定AP在線,AP和客戶端之間的連接處於正常狀態,則客戶端不對收到的解除關聯/解除認證報文進行處理。若客戶端未收到AP回複的SA Query相應幀,則客戶端斷開與AP的連接。
圖1-9 被動SA Query過程
增強開放係統認證(Enhanced Open system authentication)是一種在開放型無線接入網絡中為支持OWE協議(Opportunistic Wireless Encryption,機會性無線加密)的無線客戶端提供數據加密的增強開放認證服務。使用此服務後,支持OWE協議的客戶端接入網絡時無需輸入密碼,設備與客戶端會使用OWE協議自動協商出密鑰,實現數據報文的加密。
增強開放係統認證的認證過程如圖1-10所示:
(1) 無線客戶端向AP發起認證請求。
(2) AP確定客戶端可以通過無線鏈路認證,並向客戶端回應認證結果為“成功”。
(3) 客戶端和AP完成四次握手協商出加密密鑰。
與用戶安全相關的協議規範有:
· IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements-2004
· WI-FI Protected Access – Enhanced Security Implementation Based On IEEE P802.11i Standard-Aug 2004
· Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements—802.11, 1999
· IEEE Standard for Local and metropolitan area networks ”Port-Based Network Access Control” 802.1X™-2004
· 802.11i IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements
· 802.11w IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements
Pre-RSNA安全機製配置任務如下:
(1) 配置加密套件
(2) 配置WEP密鑰
(3) (可選)用戶安全告警功能
RSNA安全機製配置任務如下:
(1) 配置身份認證與密鑰管理模式
(2) 配置安全信息元素
(3) (可選)配置WPA3安全模式
(4) 配置加密套件
(5) (可選)配置PSK密鑰
(6) (可選)配置密鑰衍生算法
(7) (可選)配置GTK更新功能
(8) (可選)配置PTK更新功能
(9) (可選)配置TKIP反製時間
(10) (可選)配置WEP密鑰
(11) (可選)配置保護管理幀功能
(12) (可選)開啟密碼錯誤限製功能
(13) (可選)配置增強開放係統認證服務
(14) (可選)用戶安全告警功能
動態WEP加密機製配置任務如下:
(1) 開啟動態WEP加密機製
(2) (可選)配置加密套件
(3) (可選)配置WEP密鑰
(4) (可選)用戶安全告警功能
身份認證與密鑰管理模式和WLAN用戶接入認證的關係如下:
· 當用戶選擇802.1X身份認證與密鑰管理時,WLAN用戶接入認證模式隻能配置為802.1X模式;
· 當用戶選擇Private-PSK模式時,WLAN用戶接入認證模式隻能配置為MAC地址認證模式;
· 當身份認證與密鑰管理為PSK模式時,WLAN用戶接入認證模式隻能使用Bypass認證或者MAC地址認證模式;
· 當用戶選擇Wi-Fi聯盟匿名802.1X身份認證與密鑰管理時,WLAN用戶接入認證模式隻能配置為802.1X模式。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置身份認證與密鑰管理的模式。
akm mode { dot1x | private-psk | psk | anonymous-dot1x }
缺省情況下,未配置身份認證與密鑰管理模式。
安全信息元素對應的是當前設備所支持的網絡類型,OSEN、WPA或RSN。用戶如何配置取決於客戶端所支持的網絡類型。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置安全信息元素。
security-ie { osen | rsn | wpa }
缺省情況下,信標和探查響應幀不攜帶WPA IE、RSN IE或OSEN IE。
WPA3安全模式應用模式有兩種:WPA3-SAE個人網絡和WPA3-Enterprise企業網絡。
WPA3-SAE個人網絡用SAE(Simultaneous Authentication of Equals,對等實體同時驗證)取代了WPA2-Personal中采用的PSK,能夠提供更可靠的基於密碼的身份驗證,因此可以更好地保護個人用戶的安全。
WPA3-Enterprise企業網絡以WPA2為基礎,提供一種可選模式,該模式采用192位最低加密強度的安全協議和加密工具,並在WPA網絡內設定了一致的安全基準,在整個網絡內確保一致地應用安全協議。
開啟WPA3安全模式時:
· 對於WPA3企業級:加密套件必須配置為GCMP,安全信息元素必須配置為RSN。
· 對於WPA3個人級:加密套件必須配置為CCMP,安全信息元素必須配置為RSN。
開啟WPA3安全模式後,建議同時開啟保護管理幀功能。
部分無線客戶端通過WPA3企業級上線後,會出現短時間內無法從WPA3個人級上線的情況。如出現該情況,請嚐試再次從WPA3個人上線即可。
請不要同時開啟WPA3安全模式、快速BSS切換功能或增強開放係統認證服務,否則會導致無線服務模板使能失敗。關於快速BSS切換功能的詳細信息請參見“WLAN配置指導”中的“WLAN漫遊”。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置WPA3安全模式。
wpa3 { enterprise | personal { mandatory | optional } }
缺省情況下,WPA3安全模式處於關閉狀態。
加密套件是對數據加密和解密的方法。包括如下幾類:
· WEP40/WEP104/WEP128
· CCMP
· TKIP
· GCMP
同時配置WEP40\WEP104和CCMP\GCMP\TKIP加密套件時,可能會導致某些無線客戶端無法上線,因此不建議同時配置。
WEP128加密套件和CCMP、GCMP或TKIP不能同時配置。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置加密套件。
cipher-suite { ccmp | gcmp | tkip | wep40 | wep104 | wep128 }
缺省情況下,未配置加密套件。
當身份認證與密鑰管理為PSK模式時,則必須配置PSK密鑰。當身份認證與密鑰管理為802.1X模式時,若配置PSK密鑰,則無線服務模板可以使能,但本配置不會生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置PSK密鑰。
preshared-key { pass-phrase | raw-key } { cipher | simple } string
缺省情況下,未配置PSK密鑰。
當使用RSNA安全機製時,客戶端和AP使用密鑰衍生算法來產生PTK/GTK。目前支持的散列算法有兩種,分別是SHA1和SHA256。SHA1使用HMAC-SHA1算法進行迭代計算產生密鑰,SHA256使用HMAC-SHA256算法進行迭代計算產生密鑰。SHA256安全散列算法的安全性比SHA1安全散列算法安全性高。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置密鑰衍生算法。
key-derivation { sha1 | sha256 | sha1-and-sha256 }
缺省情況下,密鑰衍生算法為sha1。
若配置了身份認證與密鑰管理、安全信息元素、TKIP或CCMP加密套件,則係統將使用密鑰協商來產生GTK,此時可以配置GTK更新,觸發GTK更新的方式有如下三種:
· 基於時間,在指定時間間隔後更新GTK。
· 基於報文數,AP發送了指定數目的廣播或組播數據報文後更新GTK。
· 客戶端離線更新GTK,當BSS中有客戶端下線時,該BSS會更新GTK。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟GTK更新功能。
gtk-rekey enable
缺省情況下,GTK更新功能處於關閉狀態。
(4) 配置GTK更新方法。請至少選擇其中一項進行配置。
¡ 配置基於時間或數據包更新GTK。
gtk-rekey method { packet-based [ packet ] | time-based [ time ] }
缺省情況下,GTK更新采用基於時間的方法,時間間隔為86400秒。
如果配置GTK更新方法為基於數據包的更新方法,缺省值為10000000。
¡ 配置客戶端離線更新GTK。
gtk-rekey client-offline enable
缺省情況下,客戶端離線更新GTK功能關閉。
若配置了身份認證與密鑰管理、安全信息元素、TKIP或CCMP加密套件,則係統將使用密鑰協商來產生PTK,此時可以設置PTK的生存時間,表明在指定的時間間隔後更新PTK。
開啟本功能後,請勿配置FT功能,否則本功能將失效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟PTK更新功能。
ptk-rekey enable
缺省情況下,PTK更新功能處於關閉狀態。
(4) 配置PTK的生存時間。
ptk-lifetime time
缺省情況下,PTK的生存時間為43200秒。
若配置了TKIP加密套件,TKIP可以通過配置反製時間的方式啟動反製策略,來阻止黑客的攻擊。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置TKIP反製時間。
tkip-cm-time time
缺省情況下,發起TKIP反製策略時間為0,即不啟動反製策略。
若使用RSNA安全機製,且加密套件配置了WEP40/WEP104/WEP128和相對應長度的WEP密鑰,則係統不會使用通過密鑰協商產生的組播密鑰為組播報文加密,而是選擇安全性較弱的WEP的密鑰作為組播密鑰。
若使用Pre-RSNA安全機製,則客戶端與AP將使用WEP密鑰通過WEP加密方式對數據報文進行加密。
若使用動態WEP加密機製,則不能將WEP加密使用的密鑰ID配置為4。
如果使用RSNA安全機製,密鑰ID不能為1,需要配置其它密鑰索引值。因為RSN和WPA協商的密鑰ID將為1。
隻有在配置了與密鑰長度相對應的WEP加密套件時,指定ID的密鑰才會生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置WEP密鑰。
wep key key-id { wep40 | wep104 | wep128 } { pass-phrase | raw-key } { cipher | simple } string
缺省情況下,未配置WEP密鑰。
(4) 配置WEP加密使用的密鑰ID。
wep key-id { 1 | 2 | 3 | 4 }
缺省情況下,密鑰ID為1。
當配置了多個密鑰,可以通過配置密鑰ID選擇要使用的加密密鑰。
配置保護管理幀功能有以下三種情況:
· 當保護管理幀功能關閉時,支持或不支持保護管理幀功能的客戶端均可上線,但不對通信過程中的管理幀進行保護。
· 當保護管理幀功能為optional時,支持或不支持保護管理幀功能的客戶端均可上線,但僅對支持保護管理幀功能上線客戶端提供保護管理幀功能。
· 當保護管理幀為mandatory時,支持保護管理幀功能的客戶端可上線,同時對通信過程中的管理幀進行保護,不支持保護管理幀功能的客戶端無法上線。
要使用保護管理幀功能,必須使用802.11i安全機製,且加密套件必須配置為CCMP加密套件,安全信息元素必須配置為RSN。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟保護管理幀功能。
pmf { optional | mandatory }
缺省情況下,保護管理幀功能處於關閉狀態。
(4) 配置AP發送SA Query超時時間。
pmf saquery retrytimeout timeout
缺省情況下,AP發送SA Query request幀的時間間隔為200毫秒。
(5) 配置AP發送SA Query request幀的最大重傳次數。
pmf saquery retrycount count
缺省情況下,AP發送SA Query request幀的最大重傳次數為4次。
(6) 配置保護管理幀的關聯返回時間。
pmf association-comeback time
缺省情況下,保護管理幀的關聯返回時間為1秒。
在開啟動態WEP加密機製後:
· 若配置了WEP加密套件、加密套件對應的WEP密鑰且指定了使用該WEP密鑰的ID,則以配置的加密套件對單播和組播報文加密,WEP密鑰作為組播密鑰。客戶端和認證服務器會協商與配置的WEP加密套件相對應的單播密鑰。
· 若未配置WEP加密套件、WEP密鑰及密鑰ID,則使用加密套件WEP104對單播和組播報文進行加密,AP會隨機生成長度為104比特的字符串作為組播密鑰,並且組播密鑰ID為1。係統會協商出WEP104密鑰作為單播密鑰。
WLAN用戶接入認證模式必須配置為dot1x模式,動態WEP加密功能才會生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟動態WEP加密機製。
wep mode dynamic
缺省情況下,動態WEP加密機製處於關閉狀態。
開啟本功能後,在指定檢測周期內密碼校驗失敗次數達到指定上限時,客戶端會被立即加入到動態黑名單中。有關動態黑名單的詳細介紹請參見“WLAN配置指導”中的“WLAN接入”。
隻有當身份認證與密鑰管理模式為PSK或者Private-PSK時,密碼錯誤限製功能才會生效。
本功能僅對在設備上進行關聯的新接入的無線客戶端生效。
當STMGR進程重啟(例如:設備重啟導致的STAMGR進程重啟)後,本功能將對密碼校驗失敗次數重新進行計數。
(1) 進入係統視圖。
system-view
(2) 開啟密碼錯誤限製功能。
wlan password-failure-limit enable [ detection-period detection-period ] [ failure-threshold failure-threshold ]
缺省情況下,密碼錯誤限製功能處於關閉狀態。
開啟增強開放係統認證服務後,支持OWE協議的客戶端接入網絡時無需輸入密碼,設備與客戶端會使用OWE協議自動協商出密鑰,實現數據報文的加密。
開啟本功能的無線服務模板下的如下功能需要保持缺省狀態:WPA3安全模式、FT功能、保護管理幀功能,安全IE、加密套件和密鑰衍生算法。
開啟本功能後,設備會自動完成如下設置:
· 安全IE配置為RSN。
· 加密套件配置為CCMP。
· 保護管理幀功能開啟。
· 密鑰衍生算法為sha256或sha384。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟增強開放係統認證服務。
enhanced-open enable
缺省情況下,增強開放係統認證服務處於關閉狀態。
過渡模式是一種在同時配置了增強開放係統認證服務和開放係統認證服務的情況下,根據無線客戶端的支持情況,推薦客戶端選擇接入增強開放係統認證服務或開放係統認證服務的模式。
指定過渡模式下推薦的無線服務後,支持OWE協議的無線客戶端接入開放係統認證服務時,開放係統認證服務會推薦該無線客戶端到配置的增強開放係統認證服務下接入。
若不指定過渡模式下推薦的無線服務,則當客戶端在非對應服務上上線時,設備會拒絕其接入。
當網絡中同時存在支持OWE協議和不支持OWE協議的無線客戶端時,為了讓客戶端根據自身能力快速接入更合適的無線服務,建議指定過渡模式下推薦的無線服務。
本功能需要在開放係統認證服務的無線服務模板和增強開放係統認證服務的無線服務模板下同時配置。
互為過渡模式無線服務的兩個無線服務模板需綁定在同一Radio下。
增強開放係統認證服務的無線服務模板下指定過渡模式下推薦的無線服務,需要開啟SSID隱藏功能。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 指定過渡模式下推薦的無線服務。
enhanced-open transition-mode service-template service-template-name
缺省情況下,未指定過渡模式下推薦的無線服務。
多次執行本命令,最後一次執行的命令生效。
開啟了告警功能之後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。(有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。)
(1) 進入係統視圖。
system-view
(2) 開啟用戶安全的告警功能。
snmp-agent trap enable wlan usersec
缺省情況下,用戶安全的告警功能處於關閉狀態。
在完成上述配置後,在無線服務模版視圖下執行display命令可以顯示配置後的WLAN用戶安全運行情況,通過查看顯示信息驗證配置效果。
display wlan service-template、display wlan client命令的詳細介紹,請參見“WLAN命令參考”中的“WLAN接入”。
表1-3 WLAN用戶安全顯示和維護
|
操作 |
命令 |
|
顯示客戶端的信息 |
display wlan client [ ap ap-name [ radio radio-id ] | mac-address mac-address | service-template service-template-name ] [ verbose ] |
|
顯示無線服務模板信息 |
display wlan service-template [ service-template-name ] [ verbose ] |
|
顯示PPSK密碼相關信息 |
display wlan private-psk cloud-password [ password-id ] [ verbose ] |
|
顯示PPSK密碼和無線用戶MAC地址綁定關係 |
display wlan private-psk cloud-password mac-binding [ password-id ] |
如圖1-11所示,AC旁掛在Switch上,Switch同時作為DHCP server為AP和Client分配IP地址。通過配置客戶端在鏈路層使用WEP密鑰12345接入無線網絡。
(1) 創建無線服務模板
# 創建無線服務模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置無線服務的SSID為service。
[AC-wlan-st-service1] ssid service
(2) 配置WEP並使能無線服務模板
# 配置使用WEP40加密套件,配置密鑰索引為2,使用明文的字符串12345作為共享密鑰。
[AC-wlan-st-service1] cipher-suite wep40
[AC-wlan-st-service1] wep key 2 wep40 pass-phrase simple 12345
[AC-wlan-st-service1] wep key-id 2
# 使能無線服務模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(3) 將無線服務模板綁定到radio1上
# 創建手工AP,名稱為ap1,並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 進入Radio 1視圖。
[AC-wlan-ap-ap1] radio 1
# 將無線服務模板綁定到Radio 1上,並開啟射頻。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成後,在AC上執行display wlan service-template命令,可以看到無線服務模板下安全信息的配置情況如下:
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : Not configured
Security IE : Not configured
Cipher suite : WEP40
WEP key ID : 2
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
· 如圖1-12所示,AC旁掛在Switch上,Switch同時作為DHCP server為AP和Client分配IP地址。通過配置客戶端PSK密鑰12345678接入無線網絡。
· 客戶端鏈路層認證使用開放式係統認證,用戶接入認證使用Bypass認證的方式實現客戶端可以不需要認證直接接入WLAN網絡的目的。
· 通過配置客戶端和AP之間的數據報文采用PSK身份認證與密鑰管理模式來確保用戶數據的傳輸安全。
圖1-12 PSK+Bypass認證配置組網圖
(1) 創建無線服務模板
# 創建無線服務模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置無線服務的SSID為service。
[AC-wlan-st-service1] ssid service
(2) 配置身份認證與密鑰管理模式為PSK模式、加密套件為CCMP、安全信息元素為WPA並使能無線服務模板
# 配置AKM為PSK,配置PSK密鑰,使用明文的字符串12345678作為共享密鑰。
[AC-wlan-st-service1] akm mode psk
[AC-wlan-st-service1] preshared-key pass-phrase simple 12345678
# 配置CCMP為加密套件,配置WPA為安全信息元素。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie wpa
# 使能無線服務模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(3) 進入AP視圖並將無線服務模板綁定到radio1上
# 創建手工AP,名稱為ap1,並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 進入Radio 1視圖。
[AC-wlan-ap-ap1] radio 1
# 將無線服務模板綁定到Radio 1上,並開啟射頻。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成後,在AC上執行display wlan service-template命令,可以看到無線服務模板的配置情況如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : PSK
Security IE : WPA
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
· 如圖1-13所示,AC旁掛在Switch上,Switch同時作為DHCP server為AP和Client分配IP地址。通過配置客戶端PSK密鑰12345678接入無線網絡。
· 客戶端鏈路層認證使用開放式係統認證,客戶端通過RADIUS服務器進行MAC地址認證的方式,實現客戶端可使用固定用戶名abc和密碼123接入WLAN網絡的目的。
· 通過配置客戶端和AP之間的數據報文采用PSK認證密鑰管理模式來確保用戶數據的傳輸安全。
圖1-13 PSK密鑰管理模式和MAC認證配置組網圖
· 下述配置中包含了若幹AAA/RADIUS協議的配置命令,關於這些命令的詳細介紹,請參見“安全命令參考”中的“AAA”。
· 確保RADIUS服務器與AC路由可達,並成功添加了用戶賬戶,用戶名為abc,密碼為123。
(1) 創建無線服務模板
# 創建無線服務模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置無線服務的SSID為service。
[AC-wlan-st-service1] ssid service
(2) 配置身份認證與密鑰管理為PSK模式、加密套件為CCMP、安全信息元素為WPA
# 配置AKM為PSK,配置PSK密鑰,使用明文的字符串12345678作為共享密鑰。
[AC-wlan-st-service1] akm mode psk
[AC-wlan-st-service1] preshared-key pass-phrase simple 12345678
# 配置CCMP為加密套件,配置WPA為安全信息元素。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie wpa
(3) 配置用戶接入認證模式並使能無線服務模板
# 配置用戶接入方式為MAC地址認證。
[AC-wlan-st-service1] client-security authentication-mode mac
# 配置使能無線服務模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(4) 創建RADIUS方案
# 創建RADIUS方案radius1並進入其視圖。
[AC] radius scheme radius1
# 配置主認證/計費RADIUS服務器的IP地址為10.1.1.3,服務器的UDP端口號為1812和1813。
[AC-radius-radius1] primary authentication 10.1.1.3 1812
[AC-radius-radius1] primary accounting 10.1.1.3 1813
# 配置AC與認證/計費RADIUS服務器交互報文時的共享密鑰為12345678。
[AC-radius-radius1] key authentication simple 12345678
[AC-radius-radius1] key accounting simple 12345678
# 配置發送給RADIUS服務器的用戶名不攜帶域名。
[AC-radius-radius1] user-name-format without-domain
[AC-radius-radius1] quit
發送給服務器的用戶名是否攜帶域名與服務器端是否接受攜帶域名的用戶名、以及服務器端的配置有關:
· 若服務器端不接受攜帶域名的用戶名,或者服務器上配置的用戶認證所使用的服務不攜帶域名後綴,則Device上指定不攜帶用戶名(without-domain);
· 若服務器端可接受攜帶域名的用戶名,且服務器上配置的用戶認證所使用的服務攜帶域名後綴,則Device上指定攜帶用戶名(with-domain)。
(5) 配置使用RADIUS方案進行認證、授權、計費
# 創建認證域(ISP域)dom1並進入其視圖。
[AC] domain dom1
# 配置MAC用戶使用RADIUS方案radius1進行認證、授權、計費。
[AC-isp-dom1] authentication lan-access radius-scheme radius1
[AC-isp-dom1] authorization lan-access radius-scheme radius1
[AC-isp-dom1] accounting lan-access radius-scheme radius1
[AC-isp-dom1] quit
(6) 配置MAC地址認證域及用戶名和密碼
# 配置認證域為dom1,用戶名為abc,密碼為明文字符串123。
[AC] mac-authentication domain dom1
[AC] mac-authentication user-name-format fixed account abc password simple 123
(7) 將無線服務模板綁定到radio1上
# 創建手工AP,名稱為ap1,並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 進入Radio 1視圖。
[AC-wlan-ap-ap1] radio 1
# 將無線服務模板綁定到Radio 1上,並開啟射頻。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成後,在AC上執行display wlan service-template命令,可以看到無線服務模板的配置情況如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : PSK
Security IE : WPA
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : MAC
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
· 如圖1-14所示,AC旁掛在Switch上,Switch同時作為DHCP server為AP和Client分配IP地址。
· 客戶端鏈路層認證使用開放式係統認證,客戶端通過802.1X接入認證的方式實現客戶端可使用用戶名abcdef和密碼123456接入WLAN網絡的目的。
· 通過配置客戶端和AP之間的數據報文采用802.1X身份認證與密鑰管理來確保用戶數據的傳輸安全。
圖1-14 802.1X認證配置組網圖
· 下述配置中包含了若幹AAA/RADIUS協議的配置命令,關於這些命令的詳細介紹,請參見“安全命令參考”中的“AAA”。
· 完成802.1X客戶端的配置。
· 完成RADIUS服務器的配置,添加用戶賬戶,用戶名為abcdef,密碼為123456。
(1) 配置802.1X
# 配置802.1X認證方法為EAP中繼方式。
<AC> system-view
[AC] dot1x
[AC] dot1x authentication-method eap
(2) 創建無線服務模板
# 創建無線服務模板service1。
[AC] wlan service-template service1
# 配置無線服務的SSID為service。
[AC-wlan-st-service1] ssid service
(3) 配置AKM、加密套件及安全信息元素
# 配置AKM為802.1X。
[AC-wlan-st-service1] akm mode dot1x
# 配置CCMP為加密套件,配置WPA為安全信息元素。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie wpa
(4) 配置用戶接入認證模式並使能無線服務模板
# 配置用戶接入方式為802.1X認證。
[AC-wlan-st-service1] client-security authentication-mode dot1x
# 配置使能無線服務模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(5) 創建RADIUS方案
# 創建RADIUS方案radius1並進入其視圖。
[AC] radius scheme radius1
# 配置主認證/計費RADIUS服務器的IP地址為10.1.1.3,配置主認證/計費RADIUS服務器的端口號為1812/1813。
[AC-radius-radius1] primary authentication 10.1.1.3 1812
[AC-radius-radius1] primary accounting 10.1.1.3 1813
# 配置AC與認證/計費RADIUS服務器交互報文時的共享密鑰為明文字符串12345。
[AC-radius-radius1] key authentication simple 12345
[AC-radius-radius1] key accounting simple 12345
# 配置發送給RADIUS服務器的用戶名不攜帶域名。
[AC-radius-radius1] user-name-format without-domain
[AC-radius-radius1] quit
發送給服務器的用戶名是否攜帶域名與服務器端是否接受攜帶域名的用戶名、以及服務器端的配置有關:
· 若服務器端不接受攜帶域名的用戶名,或者服務器上配置的用戶認證所使用的服務不攜帶域名後綴,則Device上指定不攜帶用戶名(without-domain);
· 若服務器端可接受攜帶域名的用戶名,且服務器上配置的用戶認證所使用的服務攜帶域名後綴,則Device上指定攜帶用戶名(with-domain)。
(6) 創建認證域並配置RADIUS方案
# 創建認證域(ISP域)dom1並進入其視圖。
[AC] domain dom1
# 配置802.1X用戶使用RADIUS方案radius1進行認證、授權、計費。
[AC-isp-dom1] authentication lan-access radius-scheme radius1
[AC-isp-dom1] authorization lan-access radius-scheme radius1
[AC-isp-dom1] accounting lan-access radius-scheme radius1
[AC-isp-dom1] quit
# 配置使用dom1認證域為默認域。
[AC] domain default enable dom1
(7) 進入AP視圖並將無線服務模板綁定到radio1上
# 創建手工AP,名稱為ap1,並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 進入Radio 1視圖。
[AC-wlan-ap-ap1] radio 1
# 將無線服務模板綁定到Radio 1上,並開啟射頻。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成後,在AC上執行display wlan service-template命令,可以看到無線服務模板的配置情況如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : dot1x
Security IE : WPA
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : 802.1X
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
· 如圖1-15所示,AC與Switch連接,Switch同時作為DHCP server為AP和客戶端分配IP地址。通過配置客戶端PSK密鑰12345678接入無線網絡。
· 通過配置客戶端和AP之間的加密套件為CCMP、安全IE為RSN和保護管理幀功能來確保無線網絡的安全。
(1) 創建無線服務模板
# 創建無線服務模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置無線服務模板的SSID為service。
[AC-wlan-st-service1] ssid service
(2) 配置保護管理幀功能
# 開啟optional模式的保護管理幀功能。
[AC-wlan-st-service1] pmf optional
# 配置密鑰衍生類型為sha1-and-sha256。
[AC-wlan-st-service1] key-derivation sha1-and-sha256
(3) 配置使用RSNA安全機製,並使用PSK身份認證密鑰管理模式、CCMP加密套件、RSN安全信息元素
# 配置AKM為PSK,配置PSK密鑰為明文的字符串12345678。
[AC-wlan-st-service1] akm mode psk
[AC-wlan-st-service1] preshared-key pass-phrase simple 12345678
# 配置加密套件為CCMP,配置安全信息元素RSN。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie rsn
# 使能無線服務模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(4) 將無線服務模板綁定到radio1上
# 創建手工AP,名稱為ap1,並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454
# 進入Radio 1視圖。
[AC-wlan-ap-ap1] radio 1
# 將無線服務模板綁定到Radio 1上,並開啟射頻。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成後,在AC上執行display wlan service-template命令,可以看到服務模板的配置情況如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : PSK
Security IE : RSN
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accoutiong fail mode : Online
Authorization : Permitted
Key derivation : SHA1-AND-SHA256
PMF status : Optional
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
# 當有客戶端上線時,在AC上執行display wlan client verbose命令,可以看到保護管理幀協商結果如下。
<AC> display wlan client verbose
Total number of clients: 1
MAC address : 5250-0012-0411
IPv4 address : 135.3.2.1
IPv6 address : N/A
Username : 11w
AID : 1
AP ID : 1
AP name : ap1
Radio ID : 1
Channel : 36
SSID : service
BSSID : aabb-ccdd-eeff
VLAN ID : 1
Sleep count : 147
Wireless mode : 802.11a
Channel bandwidth : 20MHz
SM power save : Disabled
Short GI for 20MHz : Not supported
Short GI for 40MHz : Not supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Beamformee STS capability : N/A
Number of Sounding Dimensions : N/A
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
Support HT-MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 46
Rx/Tx rate : 39/65
Authentication method : Open system
Security mode : RSN
AKM mode : PSK
Cipher suite : CCMP
User authentication mode : Bypass
WPA3 status : Disabled
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : Enabled
Forwarding policy name : N/A
Online time : 0days 0hours 2minutes 56seconds
FT status : Inactive
· 如圖1-16所示,AC旁掛在Switch上,Switch同時作為DHCP server為AP和Client分配IP地址。
· 客戶端鏈路層認證使用開放式係統認證,客戶端通過802.1X接入認證的方式實現客戶端可使用用戶名abcdef和密碼123456接入WLAN網絡的目的。
· 通過配置客戶端和AP之間的數據報文采用802.1X接入認證與動態WEP確保用戶數據的傳輸安全。
圖1-16 動態WEP配置組網圖
· 下述配置中包含了若幹AAA/RADIUS協議的配置命令,關於這些命令的詳細介紹,請參見“安全命令參考”中的“AAA”。
· 完成802.1X客戶端的配置。
· 完成RADIUS服務器的配置,添加用戶賬戶,用戶名為abcdef,密碼為123456。
(1) 創建無線服務模板
# 創建無線服務模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置無線服務的SSID為service。
[AC-wlan-st-service1] ssid service
(2) 配置動態WEP方式加密
# 配置WEP為dynamic。
[AC-wlan-st-service1] wep mode dynamic
(3) 配置用戶接入認證模式並使能無線服務模板
# 配置用戶接入方式為802.1X認證。
[AC-wlan-st-service1] client-security authentication-mode dot1x
# 配置使能無線服務模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(4) 創建RADIUS方案
# 創建RADIUS方案radius1並進入其視圖。
[AC] radius scheme radius1
# 配置主認證/計費RADIUS服務器的IP地址為10.1.1.3,配置主認證/計費RADIUS服務器的端口號為1812/1813。
[AC-radius-radius1] primary authentication 10.1.1.3 1812
[AC-radius-radius1] primary accounting 10.1.1.3 1813
# 配置AC與認證/計費RADIUS服務器交互報文時的共享密鑰為明文字符串12345。
[AC-radius-radius1] key authentication simple 12345
[AC-radius-radius1] key accounting simple 12345
# 配置發送給RADIUS服務器的用戶名不攜帶域名。
[AC-radius-radius1] user-name-format without-domain
[AC-radius-radius1] quit
發送給服務器的用戶名是否攜帶域名與服務器端是否接受攜帶域名的用戶名以及服務器端的配置有關:
· 若服務器端不接受攜帶域名的用戶名,或者服務器上配置的用戶認證所使用的服務不攜帶域名後綴,則Device上指定不攜帶用戶名(without-domain);
· 若服務器端可接受攜帶域名的用戶名,且服務器上配置的用戶認證所使用的服務攜帶域名後綴,則Device上指定攜帶用戶名(with-domain)。
(5) 配置RADIUS方案
# 創建認證域(ISP域)dom1並進入其視圖。
[AC] domain dom1
# 配置802.1X用戶使用RADIUS方案radius1進行認證、授權、計費。
[AC-isp-dom1] authentication lan-access radius-scheme radius1
[AC-isp-dom1] authorization lan-access radius-scheme radius1
[AC-isp-dom1] accounting lan-access radius-scheme radius1
[AC-isp-dom1] quit
# 配置使用dom1認證域為默認域。
[AC] domain default enable dom1
(6) 進入AP視圖並將無線服務模板綁定到Radio1接口
# 創建手工AP,名稱為ap1,並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 進入Radio 1視圖。
[AC-wlan-ap-ap1] radio 1
# 將無線服務模板綁定到Radio 1上,並開啟射頻。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成後,在AC上執行display wlan service-template命令,可以看到無線服務模板的配置情況如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : Not configured
Security IE : Not configured
Cipher suite : WEP104
WEP key ID : 1
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : 802.1X
Intrusionprotection : Disabled
Intrusionprotection mode : Temporary-block
Temporary block time : 180 sec
Temporaryservicestop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
· 如圖1-17所示,AC旁掛在Switch上,Switch同時作為DHCP server為AP和Client分配IP地址。配置客戶端使用MAC地址作為PSK密鑰接入無線網絡。
· 客戶端通過RADIUS服務器進行MAC地址認證,使用MAC地址作為用戶名和密碼接入WLAN。
· 使用Private-PSK身份認證與密鑰管理模式來保證用戶數據的傳輸安全。
圖1-17 Private-PSK密鑰管理模式和MAC認證配置組網圖
· 下述配置中包含了若幹AAA/RADIUS協議的配置命令,關於這些命令的詳細介紹,請參見“安全命令參考”中的“AAA”。
· 確保RADIUS服務器與AC路由可達,並成功添加了用戶賬戶,用戶名為00-23-12-45-67-7a,密碼為00-23-12-45-67-7a。
(1) 創建無線服務模板
# 創建無線服務模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置無線服務的SSID為service。
[AC-wlan-st-service1] ssid service
(2) 配置安全信息
# 配置AKM為Private-PSK。
[AC-wlan-st-service1] akm mode private-psk
[AC-wlan-st-service1]
# 配置CCMP為加密套件,配置WPA為安全信息元素。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie wpa
(3) 配置用戶接入認證模式並使能無線服務模板
# 配置用戶接入方式為MAC地址認證。
[AC-wlan-st-service1] client-security authentication-mode mac
# 使能無線服務模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(4) 創建RADIUS方案
# 創建RADIUS方案radius1並進入其視圖。
[AC] radius scheme radius1
# 配置主認證/計費RADIUS服務器的IP地址為10.1.1.3,服務器的UDP端口號為1812和1813。
[AC-radius-radius1] primary authentication 10.1.1.3 1812
[AC-radius-radius1] primary accounting 10.1.1.3 1813
# 配置AC與認證/計費RADIUS服務器交互報文時的共享密鑰為12345678。
[AC-radius-radius1] key authentication simple 12345678
[AC-radius-radius1] key accounting simple 12345678
# 配置發送給RADIUS服務器的用戶名不攜帶域名。
[AC-radius-radius1] user-name-format without-domain
[AC-radius-radius1] quit
發送給服務器的用戶名是否攜帶域名與服務器端是否接受攜帶域名的用戶名、以及服務器端的配置有關:
· 若服務器端不接受攜帶域名的用戶名,或者服務器上配置的用戶認證所使用的服務不攜帶域名後綴,則設備上指定不攜帶用戶名(without-domain);
· 若服務器端可接受攜帶域名的用戶名,且服務器上配置的用戶認證所使用的服務攜帶域名後綴,則Device上指定攜帶用戶名(with-domain)。
(5) 配置使用RADIUS方案進行認證、授權、計費
# 創建認證域(ISP域)dom1並進入其視圖。
[AC] domain dom1
# 配置MAC地址認證用戶使用RADIUS方案radius1進行認證、授權、計費。
[AC-isp-dom1] authentication lan-access radius-scheme radius1
[AC-isp-dom1] authorization lan-access radius-scheme radius1
[AC-isp-dom1] accounting lan-access radius-scheme radius1
[AC-isp-dom1] quit
(6) 配置MAC地址認證域及用戶名和密碼
# 配置認證域為dom1,使用MAC地址作為用戶名和密碼。
[AC] mac-authentication domain dom1
[AC] mac-authentication user-name-format mac-address with-hyphen lowercase
(7) 將無線服務模板綁定到radio1上
# 創建手工AP,名稱為ap1,並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 進入Radio 1視圖。
[AC-wlan-ap-ap1] radio 1
# 將無線服務模板綁定到Radio 1上,並開啟射頻。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 配置完成後,在AC上執行display wlan service-template命令,可以看到無線服務模板的配置情況如下。
<AC> display wlan service-template service1 verbose
Service template name : service1
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
AKM mode : Private-PSK
Security IE : WPA
Cipher suite : CCMP
TKIP countermeasure time : 0
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Enabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : MAC
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forward policy : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
